Origine: bjCSIRT
Numéro: 2020/ALERTE/020
Date de l’alerte: 22/12/2020
Aperçu de la menace
Libellée en tant que CVE-2020–35489, la vulnérabilité critique de chargement de fichiers sans restriction est découverte dans le module d’extension WordPress nommé « Contact Form 7 ».
Cette extension téléchargée plus de 5 millions de fois est populaire et rend les sites web qui en font usage vulnérables.
Description
L’extension WordPress « Contact Form 7 » sert à gérer, personnaliser les formulaires de contact et rend flexible la gestion du contenu du courrier avec un balisage simple.
Toutefois, une vulnérabilité permet le chargement illimité de fichiers et une exécution de code à distance car les noms de fichiers peuvent contenir des caractères spéciaux. En effet, l’extension permet à l’administrateur WordPress de créer des formulaires de contact sur son site Web en permettant à un visiteur d’entrer ses coordonnées à des fins telles que : demande d’assistance, de devis, etc.. Un utilisateur malveillant a la possibilité de charger un fichier avec un nom contenant deux extensions, séparées par un caractère non imprimable ou spécial, par exemple un fichier appelé « test.php .jpg » (le caractère « \t » est le séparateur). l’extension ne supprime pas les caractères spéciaux contenus dans le nom du fichier chargé mais analyse ce dernier jusqu’à la première extension, puis rejette la seconde en raison du séparateur. Ainsi, le nom de fichier final devient « test.php ». Ce fichier contenant du code PHP pourra être consulté ou exécuté à distance sur le serveur. Une exploitation réussie pourrait avoir un impact critique sur le site web WordPress.
Impact
- Prise de contrôle totale du site Web ;
- Attaques via phishing ;
- Violation de données ;
- Fraude par carte de crédit.
Systèmes affectés:
- Les versions 5.3.1 et antérieures de l’extension « Contact Form 7 ».
Références:
- https://blog.wpsec.com/contact-form-7-vulnerability/
- https://contactform7.com/2020/12/17/contact-form-7-532/
- https://wordpress.org/plugins/contact-form-7/
